DSGVO Einwilligungsbeispiele

DSGVO Einwilligungsbeispiele

In letzter Zeit haben sich die Aktivitäten vermehrt, die auf die Einholung der Einwilligung abzielen. Websites zeigen verstärkt "Cookie-Banner" an. Unternehmen haben E-Mails verschickt und die Nutzer gefragt, ob sie noch in den Mailinglisten eingetragen werden möchten. Die Liste geht weiter.

Anlass ist die Einführung der EU-Datenschutz-Grundverordnung (DSGVO), einem Datenschutzgesetz, das einen höheren Standard für die Einwilligung setzt, als viele Unternehmen es gewohnt sind. Unter der DSGVO heißt Einwilligung wirklich Einwilligung. Bestimmte Methoden, die bisher zur Einholung der Einwilligung verwendet wurden, sind nicht mehr gültig.

Wir wollen uns einmal ansehen, wie Ihr Unternehmen sicherstellen kann, dass es sich auf die richtige Art und Weise und für die richtigen Dinge Einwilligung verschafft.


Was ist die DSGVO?

Was ist die DSGVO?

Die DSGVO ist mit Sicherheit das strengste Datenschutzgesetz der Welt. Aber strenge Datenschutzgesetze der EU sind nichts Neues. Die Datenschutzrichtlinie, ein älteres Datenschutzgesetz, das durch die DSGVO ersetzt wird, und die ePrivacy-Richtlinie, manchmal auch als "Cookie-Gesetz" bekannt, bot den Bürgern in der EU bereits ein hohes Maß an Datenschutz.

Die DSGVO hat eine besonders nachhaltige Wirkung, zum Teil, weil sie auch für Nicht-EU-Unternehmen gilt.

Wer ist zur Einhaltung der DSGVO verpflichtet?

Die DSGVO gilt für Ihr Unternehmen unabhängig davon, ob Sie Ihren Sitz in der EU haben oder nicht, solange Sie:

  • Personen in der EU Waren und Dienstleistungen anbieten Dies ist unabhängig davon, ob Sie dabei einen Gewinn anstreben.
  • Das Verhalten von Personen in der EU beobachten. Dazu kann auch das "Profiling" von Personen gehören - der Versuch, aufgrund von Beobachtungen über ihr früheres Verhalten vorherzusagen, wie sie sich eventuell verhalten werden. Dies ist sogar sehr verbreitet, da es das ist, was viele Werbe-Cookies tun.

Was deckt die DSGVO ab?

Wann immer Ihr Unternehmen personenbezogene Daten verarbeitet, muss es die DSGVO einhalten. Die Verarbeitung personenbezogener Daten ist etwas, das Unternehmen jeden Tag tun.

"Personenbezogene Daten" sind Daten, die dazu genutzt werden können, eine Person zu identifizieren. Wenn Sie sich fragen, ob etwas als personenbezogene Daten eingestuft werden kann, können Sie darauf wetten, dass es wahrscheinlich so ist.

Dynamische IP-Adressen zum Beispiel wurden vom höchsten Gericht der EU als personenbezogene Daten eingestuft. Dies liegt daran, dass eine dynamische IP-Adresse theoretisch mit anderen Informationen kombiniert werden kann, um eine Person zu identifizieren. Das gilt auch für bestimmte Cookies.

Personenbezogene Daten zu "verarbeiten" bedeutet, etwas mit ihnen zu tun. Auch hier gilt: Wenn Sie sich fragen, ob etwas als Verarbeitung gilt, ist die Wahrscheinlichkeit groß, dass das der Fall ist.

Abgesehen von den offensichtlichen Dingen wie der Aufnahme von Zahlungsdaten oder der Zusammenstellung einer Mailingliste, kann auch eine Handlung wie die Speicherung der IP-Adresse einer Person in den Logdateien Ihres Webservers eine "Verarbeitung personenbezogener Daten" darstellen.

Wie sich die Einwilligung gemäß der DSGVO unterscheidet

Wie sich die Einwilligung gemäß der DSGVO unterscheidet

Die meisten Datenschutzgesetze unterscheiden zwei Arten der Einwilligung: konkludent (oder stillschweigend) und ausdrücklich.

Diese können unterschiedliche Bezeichnungen haben. Im australischen Gesetz über gewerbliche E-Mails, dem Spam Act 2003, wird die konkludente oder stillschweigende Zustimmung beispielsweise als "inferred consent" oder "abgeleitete Zustimmung" bezeichnet. Und in den Vereinigten Staaten nennt das DatenschutzgesetzCAN-SPAM die ausdrückliche Zustimmung "affirmative consent" oder "bestätigende Zustimmung".

Während die meisten Datenschutzgesetze beide Arten der Einwilligung anerkennen, gibt es in der DSGVO keine stillschweigende Einwilligung. Unter der DSGVO ist es viel schwieriger nachzuweisen, dass Sie die Einwilligung eines Kunden haben, als unter anderen Datenschutzgesetzen.

Konkludente Einwilligung

"Konkludente Einwilligung" bedeutet im Wesentlichen, dass Sie Grund zu der Annahme haben, dass eine Person Ihnen ihre Einwilligung geben würde, wenn Sie sie darum bäten.

Eine solche stillschweigend vorausgesetzte Einwilligung kann in einer Beziehung zwischen einem Kunden und einem Unternehmen bestehen. Wenn jemand regelmäßig Produkte von einem Unternehmen kauft, könnte dieses Unternehmen berechtigterweise davon ausgehen, dass die Person dem Erhalt von Marketing-E-Mails von ihm zugestimmt hat. Das Unternehmen wird dem Kunden fast immer ein "Opt-out" aus einer solchen Kommunikation über eine Abmeldemöglichkeit anbieten müssen.

Nach dem kanadischen Anti-Spam-Gesetz (CASL), einem Datenschutzgesetz, liegt beispielsweise unter bestimmten Bedingungen automatisch eine konkludente Einwilligung vor. Die kanadische Regierung erläutert dies auf ihrer Website:

Government of Canada CASL FAQ: Was ist eine konkludente Einwilligung

Ausdrückliche Einwilligung

"Einwilligung" im Sinne der DSGVO bedeutet eine ausdrückliche Einwilligung. Man fragt bei einer Person ihre Einwilligung an, sie versteht die Frage und die Auswirkungen und trifft eine echte Entscheidung.

Das neuseeländische Spam-Gesetz "Unsolicited Electronic Messages Act 2007" erkennt sowohl eine ausdrückliche als auch eine konkludente Einwilligung an. So charakterisiert das neuseeländische Innenministerium die ausdrückliche Einwilligung zum Versand von Werbe-E-Mails:

New Zealand Dept of Internal Affairs: Beispiele für ausdrückliche Einwilligung

Die fünf Elemente der Einwilligung gemäß der DSGVO

Artikel 4 der DSGVO definiert die Einwilligung als "jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich vorgenommene ... eindeutige bestätigende Handlung", mit der eine Person ihre Einwilligung zur Verarbeitung ihrer personenbezogenen Daten in einer bestimmten Weise erteilt.

Dies lässt sich in fünf Elemente unterteilen:

  1. Freiwillig - die Person darf nicht unter Druck gesetzt werden, ihre Einwilligung zu erteilen, und sie darf keine Nachteile erleiden, wenn sie sich weigert.
  2. Bestimmt - die Person muss um ihre Einwilligung zu einzelnen Arten der Datenverarbeitung gebeten werden.
  3. Informiert - die Person muss ihre Einwilligung in Kenntnis der Sachlage geben.
  4. Unmissverständlich - die Sprache muss klar und einfach sein.
  5. Eindeutige bestätigende Handlung - die Person muss ausdrücklich ihre Einwilligung geben, indem sie etwas tut oder sagt.

Fehlt eines dieser fünf Elemente, liegt Ihnen keine Einwilligung gemäß DSGVO vor.

Wann ist eine Einwilligung erforderlich?

Einer der Mythen, die über die DSGVO kursieren, ist, dass sie für alle Arten der Datenverarbeitung eine Einwilligung erfordert. Das stimmt nicht.

Die Einwilligung ist nur eine der sechs Rechtsgrundlagen für die Verarbeitung personenbezogener Daten, die die DSGVO vorsieht. Sie werden vom Information Commissioner's Office (der britischen Datenschutzbehörde) zusammengefasst:

Liste der ICO der Rechtsgrundlagen für die Verarbeitung

So sollten Sie grundsätzlich keine Einwilligung einholen, wenn:

  • Sie eine Kerndienstleistung erbringen (stattdessen Vertrag verwenden).
  • Sie gesetzlich verpflichtet sind, personenbezogene Daten zu verarbeiten (gesetzliche Verpflichtung).
  • Sie personenbezogene Daten zum Nutzen Ihres Unternehmens oder anderer in einer Weise verarbeiten, die Ihre Nutzer berechtigterweise erwarten würden, mit minimalen Risiken und Auswirkungen auf Einzelpersonen (berechtigte Interessen).

Sie sollten eine Einwilligung einholen, wenn Sie eine echte Wahlmöglichkeit für einen nicht wesentlichen Dienst anbieten. Typische Beispiele dafür sind:

  • Verwendung von Tracking-/Werbe-Cookies
  • Versenden von Marketing-E-Mails oder Newslettern
  • Weitergabe personenbezogener Daten an andere Unternehmen zu kommerziellen Zwecken

Wie man eine Einwilligung gemäß DSGVO einholt

Wie man eine Einwilligung gemäß DSGVO einholt

Sie müssen die fünf Elemente der Einwilligung jedes Mal umsetzen, wenn Sie Ihre Nutzer um eine Einwilligung bitten.

Einwilligung für Cookies

Seit der Einführung der DSGVO sind eine Menge Cookie-Banner aufgetaucht. Viele von ihnen wären im Rahmen eines Systems, das eine "konkludente" Einwilligung erlaubt, in Ordnung, aber nicht vergessen: die DSGVO erkennt nur eine ausdrückliche Einwilligung an.

Dann gibt es Cookie-Banner, die beinahe um Zustimmung bitten, aber dennoch nicht ausreichen, wie dieses Beispiel vom Londoner Southbank Centre:

Southbank Centre CookieVermerk

In diesem Beispiel wird nicht einmal eine Einwilligung eingeholt, und Cookies werden automatisch gesetzt. Die Nutzer werden auf weitere Angaben verwiesen, die sie darüber informieren, wie sie die Verwendung von Cookies ablehnen können.

Aber denken Sie an die fünf Elemente. Die Einwilligung wird bei diesem Ansatz nicht freiwillig erteilt. Sie ist auch nicht unmissverständlich und erfolgt nicht durch eine eindeutige bestätigende Handlung.

Hier ist ein Beispiel für einen viel besseren Cookie-Vermerk von der Europäischen Zentralbank:

Europäische Zentralbank Cookie-Vermerk

Hier sind alle fünf Elemente vorhanden. Die Einwilligung:

  1. erfolgt freiwillig - die Betonung liegt weder auf "akzeptieren" noch auf "nicht akzeptieren".
  2. ist informiert - dem Nutzer wird der Grund für die Verarbeitung mitgeteilt und er wird eingeladen, mehr zu erfahren.
  3. Unmissverständlich - die Sprache ist klar und einfach zu verstehen.
  4. ist bestimmt - die Person wird nur um ihre Einwilligung zu einer Art der Datenverarbeitung gebeten.
  5. wird durch eine eindeutige bestätigende Handlung erreicht - der Nutzer muss auf "Ich verstehe und akzeptiere" klicken.

Beachten Sie, dass ein zusätzliches Kontrollkästchen "Ich stimme zu" nicht erforderlich ist. Ein Klick genügt für eine einzelne Einwilligungsanfrage.

Dies ist ein ziemlich einfacher Fall - die Website der Europäischen Zentralbank verwendet nur sehr einfache Cookies. Hier ist ein Beispiel von Experian, wie Sie eine spezifische Einwilligung für verschiedene Arten von Cookies anfordern können:

Experian Privacy Preference Centre Einstellungsbildschirm

Sie müssen Ihre Nutzer in Ihrer Datenschutzrichtlinie (oder Cookie-Richtlinie) über Ihre Verwendung von Cookies informieren. So erklärt Makermet die verschiedenen Arten von Cookies, die das Unternehmen verwendet:

Makermet Cookie-Richtlinie: Tabelle über Cookie-Namen und -Zweck

Denken Sie daran, dass es bei der Einwilligung nicht nur um das geht, was Sie sagen, sondern auch um das, was Sie tun. Setzen Sie keine Werbe-Cookies, wenn Ihre Nutzer nicht zugestimmt haben.

Zustimmung zum Versand von Marketingmaterial

Die DSGVO sollte das Ende der bereits angekreuzten Kästchen einläuten, eine Taktik, die viele Jahre lang von Unternehmen genutzt wurde, die hofften, Abonnenten mit einem Trick dazu zu bringen, sich versehentlich in ihre Mailingliste einzutragen.

Es mag den Anschein haben, als sei es ein verschwindend geringer Unterschied, ob man jemanden bittet, ein Kästchen anzukreuzen, oder ob man jemanden bittet, das Häkchen in einem Kästchen zu entfernen. Das "Nichtentfernen des Häkchens in einem Kästchen" erfüllt jedoch keines der fünf Elemente der Einwilligung gemäß der DSGVO. Daher kann dies nicht verwendet werden, um nachzuweisen, dass Ihnen die Einwilligung einer Person vorliegt.

Sie können die fünf Elemente der DSGVO-Einwilligung leicht umsetzen, wenn Sie Ihre Nutzer bitten, sich in Ihre Mailingliste einzutragen. Hier ist ein Beispiel von Dynastar:

Dynastar E-Mail-Newsletter Anmeldeformular

Wie verträgt sich das mit den fünf Elementen?

  1. Freiwillig erteilt - der Nutzer hat eine klare Wahl, ob er seine E-Mail-Adresse angeben möchte.
  2. Informiert - dem Nutzer wird der Grund für die Verarbeitung mitgeteilt, wobei das Wort "Marketing" allerdings im Kleingedruckten steht. Der Nutzer wird aufgefordert, die Datenschutzbestimmungen von Dynastar zu lesen.
  3. Unmissverständlich - die Sprache ist klar und einfach zu verstehen.
  4. Bestimmt - es könnte deutlicher sein, dass der Newsletter eine Form des Marketings ist, aber das ist ein nebensächlicher Punkt.
  5. Durch eine eindeutige bestätigende Handlung erlangt - die Eingabe ihrer E-Mail und das Klicken auf "Newsletter abonnieren" ist eine eindeutige bestätigende Handlung.

Dies ist ein ziemlich vorbildliches Beispiel für einen Anmeldemechanismus für eine Mailingliste.

Hier ist noch ein Beispiel von Cooper Vision. Zuerst wird dem Nutzer genau gesagt, worauf er sich einlässt:

Cooper Vision Disclaimer zum Anmeldeformular für Marketing-Updates

Dann wird dem Nutzer eine Auswahlmöglichkeit angeboten, wie er die Informationen erhalten möchte:

Cooper Vision Marketing E-Mail Anmeldeformular mit Optionen

Die Einwilligungsanfrage von Cooper Vision erfüllt problemlos die Anforderungen der DSGVO.

Häufig wird die Zustimmung zum Versand von Marketingmaterialien eingeholt, wenn sich der Nutzer für einen anderen Dienst anmeldet oder auf andere Weise mit Ihrem Unternehmen interagiert. Hier ist ein Beispiel von Protect Your Gadget. An diesem Punkt ist der Nutzer dabei, sich anzumelden, um ein Versicherungsangebot zu erhalten:

Protect your Gadget E-Mail-Anmeldeformular

Solange klar ist, dass dies eine separate Option ist und die Standardantwort "Nein" lautet, gibt es hier kein Problem. Ein Problem entsteht erst, wenn ein Nutzer Marketingmaterial abonniert, ohne dass er dies bemerkt oder aktiv tut.

In diesem Zusammenhang ist es auch eine gute Praxis, ein "doppeltes Opt-In" zu implementieren, bei dem die Nutzer aufgefordert werden, ihr Abonnement über eine Bestätigungs-E-Mail zu bestätigen. Hier ist ein Beispiel von Textbroker:

E-Mail-Bestätigung des Newsletter-Abonnenments von Textbroker

Einwilligung zum Marketing Dritter

Es gibt zwei Möglichkeiten, wie Sie Ihre Nutzer mit Marketing von anderen Unternehmen in Kontakt bringen können. Sie können ihnen direkt Marketingmaterial von Drittanbietern schicken, oder Sie können ihre Kontaktdaten an andere Unternehmen weitergeben.

Beide Fälle sind nach der DSGVO nicht verboten. Aber wie bei allen Aspekten der Datenverarbeitung müssen Sie klar und transparent sein. Für diese Zwecke müssen Sie fast immer eine Einwilligung einholen.

Sie sollten Ihre Einwilligungsanfrage zur Weitergabe von personenbezogenen Daten nicht mit anderen Einwilligungsanfragen bündeln. Sehen Sie sich die Einwilligungsanfrage von Escapio an:

Escapio E-Mail-Newsletter-Anmeldeformular

Dem Nutzer wird gesagt, dass er sich für "unsere Escapios Tipps und Angebote" anmeldet. Aber wenn Sie auf der Seite nach unten scrollen, sehen Sie mehr:

Angaben zum Inhalt des E-Mail-Newsletters von Escapio

Der Nutzer erhält von Escapio Marketinginformationen Dritter, Hotelempfehlungen, Gewinnspiele - mehr als nur "Tipps und Angebote". Die Einwilligung für all diese Dinge wird in einer Anfrage gebündelt. Dies dürfte der Anforderung, dass die Einwilligung "bestimmt" sein muss, nicht genügen.

Hier ist ein Beispiel für eine entbündelte Einwilligungsanfrage von Steam Railway:

Steam Railway E-Mail Anmeldeformular Kontrollkästchen

Dies sind drei verschiedene Zwecke, für die die E-Mail-Adresse der Nutzer verwendet wird. Daher ist es angemessen, auf dreierlei Weise mit drei verschiedenen Kontrollkästchen nach der Einwilligung zu fragen.

Hier ist noch ein Beispiel für eine entbündelte Einwilligungsanfrage von Alfa Romeo:

Alfa Romeo Formular für die Einwilligung in Marketing, Profiling und Drittkommunikation

Dies ist ein ausgezeichnetes Beispiel für eine Einwilligung, die freiwillig, informiert, bestimmt, unmissverständlich und durch eine eindeutige bestätigende Handlung erfolgt ist.

Das sechste Element der Einwilligung - leicht widerrufbar

Es gibt eine sechste Anforderung unter der DSGVO - die Zustimmung muss leicht zu widerrufen sein.

Natürlich sollten Sie in Ihren Marketing-E-Mails eine Abmeldemöglichkeit vorsehen. So macht Hermes dies:

Hermes-E-Mail mit Abmeldemöglichkeit

Andere Möglichkeiten, die Einwilligung zu widerrufen, müssen in Ihrer Datenschutzrichtlinieklar erläutert werden. So macht Bauer Publishing dies:

Bauer Publishing Datenschutzrichtlinie: Einwilligungsklausel

Cookies können oft über einen "Cookie-Manager" verwaltet werden. Hier ist ein Beispiel von Onedox:

Screenshot des Cookie-Manager-Tools von Onedox

Beachten Sie, dass viele dieser Einstellungen standardmäßig "aus" sein sollten.

Einwilligung auf einer mobilen App

Die Prinzipien der Einholung von Einwilligungen sind bei mobilen Apps die gleichen wie in jedem anderen Medium.

Hier ist ein Beispiel für eine Einwilligungsanfrage aus der mobilen App von Swiftkey's:

Swiftkey Android-App Installationsbildschirm mit Einwilligung in Nutzungsbedingungen und Datenschutzrichtlinie markiert

Swiftkey gibt vor, die Einwilligung einzuholen, wenn der Nutzer die App installiert. Die Installation der App ist sicherlich keine unmissverständliche oder eindeutige bestätigende Handlung, die zwangsläufig eine Einwilligung darstellt.

Das ist nicht unbedingt ein Problem, solange die App keine Daten sammelt, die für gezielte Werbung verwendet werden (was eine spezielle Zustimmung erfordert). Ein kurzer Blick in die Datenschutzerklärung von Swiftkey (betrieben von Microsoft) zeigt dass im Idealfall eine ausdrückliche Einwilligung eingeholt werden sollte, da die erhobenen Daten für gezielte Werbung verwendet werden.

Microsoft Datenschutzrichtlinie: Klausel über Verwendung personenbezogener Daten mit Teil Werbung und Marketing markiert

Bei mobilen Apps ist es üblich, dass Informationen wie Standortdaten für nicht wesentliche Dienste erfasst werden können. Sie müssen Ihren Nutzern ein gewisses Maß an Kontrolle darüber geben. Hier ist ein hervorragendes Beispiel für informierte Einwilligung von Google:

Einwilligungsanfrage-Bildschirm der Google Drive Android-App

Zusammenfassung - Einholung der Einwilligung unter der DSGVO

Damit eine Einwilligung nach der DSGVO sinnvoll ist, muss sie:

  • freiwillig erfolgen - versuchen Sie nicht, Ihre Nutzer mit "Tricks" zur Zustimmung zu bewegen. Verweigern Sie keine weiteren Dienste, wenn sie nicht ihre Einwilligung geben wollen.
  • bestimmt sein - wenn Sie die Einwilligung einer Person für mehrere Zwecke verarbeiten wollen, müssen Sie sie für jede Art der Verarbeitung um ihre Zustimmung bitten.
  • informiert sein - stellen Sie klare Informationen darüber bereit, wozu der Nutzer um seine Einwilligung gebeten wird und was er tun kann, wenn er seine Meinung ändert.
  • unmissverständlich sein - verwenden Sie eine klare und einfache Sprache und stellen Sie eine eindeutige Auswahl dar.
  • durch eine eindeutige bestätigende Handlung erteilt werden - gehen Sie nie davon aus, dass Sie die Einwilligung von jemandem haben, bevor er nicht aktiv etwas zugestimmt hat.

Und schließlich sollten Sie, sobald Sie die Einwilligung einer Person haben, es ihr leicht machen, diese zu widerrufen.